Unit 42, el equipo de investigación y respuesta a incidentes de Palo Alto Networks, en su Global Incident Response Report 2026, advirtió que los delitos digitales no solo están creciendo, sino que también se están acelerando.
El informe, basado en más de 750 investigaciones realizadas entre 2024 y 2025, identifica un cambio decisivo en la dinámica de los ataques: la identidad digital se consolida como el principal factor de riesgo. Esto significa que los ciberdelincuentes ya no dependen exclusivamente de malware sofisticado, sino que ingresan mediante accesos legítimos, como usuarios, contraseñas o credenciales asociadas a servicios en la nube.
En 2025, el 25% de los ataques más veloces logró extraer información en apenas 72 minutos, mientras que el 87% de las intrusiones comprometió múltiples entornos simultáneamente. Más revelador aún, casi el 90% de los casos investigados incluyó fallas de identidad como factor determinante y el 99% de las identidades en la nube presentaba permisos excesivos.
Más que la cantidad de incidentes, lo que preocupa es la velocidad con que los atacantes avanzan y la facilidad con que se desplazan dentro de las organizaciones. Hoy combinan navegación web, aplicaciones empresariales y accesos digitales como si todo formara parte de un mismo entorno operativo. El navegador, que concentra gran parte del trabajo diario, se ha transformado en una pieza crítica: una sesión comprometida o la reutilización de credenciales puede permitir movimientos laterales casi inmediatos.
Identidades expuestas, permisos excesivos y nuevas formas de extorsión
El análisis muestra que las técnicas basadas en la identidad representaron el 65% de los accesos iniciales. Entre ellas se destacan las campañas de phishing, el uso de contraseñas filtradas y los ataques de fuerza bruta. Incluso mecanismos ampliamente adoptados, como la autenticación multifactor (MFA), pueden ser vulnerados si su implementación es básica o predecible.
La expansión del software como servicio (SaaS), es decir, aplicaciones empresariales que operan completamente en la nube, también redefine el escenario de riesgo. En 2025, la información alojada en este tipo de plataformas fue relevante en casi una cuarta parte de los casos analizados. En paralelo, herramientas legítimas como integraciones OAuth —que permiten a distintas aplicaciones compartir accesos—, API keys —credenciales utilizadas por sistemas automatizados— y soluciones de gestión remota de dispositivos (RMM/MDM) aparecen cada vez con mayor frecuencia en investigaciones de incidentes.
Estas tecnologías son esenciales para la operación moderna. Sin embargo, la mala gestión de las mismas, puede convertirse en accesos “de confianza” para intrusos. En este contexto, el informe advierte que el exceso de permisos facilita la escalada de privilegios, el movimiento lateral y la permanencia silenciosa en las redes corporativas, incluso sin generar señales evidentes de compromiso.
El reporte también identifica cambios en la monetización del delito digital. Aunque el cifrado de sistemas continúa presente, aumenta la presión basada exclusivamente en el robo de datos y en la amenaza de divulgación pública. Las cifras económicas muestran esta tendencia: la mediana de la demanda inicial alcanzó US$ 1,5 millones, mientras que la mediana de pago se situó en US$ 500.000.
“En América Latina vemos entornos híbridos, cadenas de suministro complejas y una adopción acelerada de SaaS; esa combinación exige cerrar brechas de exposición, gobernar mejor la identidad y automatizar la contención, sin perder de vista las prácticas esenciales de higiene cibernética. El objetivo es que un acceso inicial no se convierta en una crisis operacional”, señaló Patrick Rinski, Líder de Unit 42 para la región.
El informe concluye con una advertencia clara: en el delito digital moderno, la diferencia entre un incidente controlado y una crisis puede definirse en la primera hora. Porque hoy, más que técnicas muy sofisticadas, el mayor riesgo sigue siendo uno bastante familiar: credenciales válidas mal protegidas.
Qué pueden hacer hoy las organizaciones
-
Reducir la exposición mediante parches automatizados en los activos expuestos, el inventario y la propiedad clara de las integraciones OAuth y planes “break‑glass” para revocar tokens y aislar agentes de terceros.
-
Contener el impacto aplicando MFA, resista al phishing para roles críticos, sesiones más cortas con evaluación continua del riesgo y privilegios mínimos, y el acceso JIT para eliminar permisos persistentes, especialmente en cuentas de servicio.
-
Responder en minutos, unificando la telemetría (endpoint, red, identidad, nube, SaaS) y automatizando la contención: aislamiento de cargas, revocación de sesiones y playbooks consistentes en el SOC.
El delito digital ya opera a escala industrial y con tiempos de impacto medidos en minutos. Para las empresas de Chile, la prioridad es cerrar brechas de exposición, limitar la movilidad del atacante mediante mejores controles de identidad y automatizar la respuesta para igualar la velocidad de los cibercriminales. La diferencia entre un incidente y una crisis puede definirse en la primera hora.
La experiencia del último año confirma que la mejor defensa no depende de herramientas complejas, sino de fundamentos bien ejecutados. En otras palabras, observar lo que ocurre en todo el entorno, controlar quién tiene acceso a qué y reaccionar de inmediato ante cualquier actividad sospechosa. Cuando estos elementos funcionan juntos, un ataque no se convierte en un incidente y las operaciones continúan, pudiendo neutralizarlo.
